Um den Netzwerkverkehr zu überwachen, z. B. zur Analyse des Online-Verhaltens von Benutzern, zur Überwachung von anormalem Datenverkehr und zur Überwachung von Netzwerkanwendungen, müssen Sie den Netzwerkverkehr erfassen. Die Erfassung des Netzwerkverkehrs kann jedoch ungenau sein. Stattdessen müssen Sie den aktuellen Netzwerkverkehr kopieren und an das Überwachungsgerät senden. Ein Netzwerksplitter, auch bekannt als Netzwerk-TAP, erfüllt genau diese Aufgabe. Werfen wir einen Blick auf die Definition von Netzwerk-TAP:
I. Ein Network Tap ist ein Hardwaregerät, das einen Zugriff auf die über ein Computernetzwerk fließenden Daten ermöglicht. (aus Wikipedia)
II. ANetzwerk-Tap, auch Test Access Port genannt, ist ein Hardwaregerät, das direkt an ein Netzwerkkabel angeschlossen wird und Netzwerkkommunikation an andere Geräte sendet. Netzwerksplitter werden häufig in Netzwerk-Intrusion-Detection-Systemen (IPS), Netzwerkdetektoren und Profilern eingesetzt. Die Replikation der Kommunikation auf Netzwerkgeräte erfolgt heute typischerweise über einen Switching-Port-Analyzer (Span-Port), auch Port-Mirroring im Netzwerk-Switching genannt.
III. Netzwerk-Taps dienen der Einrichtung permanenter Zugriffsports für die passive Überwachung. Ein Tap (Test Access Port) kann zwischen zwei beliebigen Netzwerkgeräten wie Switches, Routern und Firewalls eingerichtet werden. Er dient als Zugriffsport für Überwachungsgeräte zur Inline-Datenerfassung, darunter Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPPS), Protokollanalysatoren und Remote-Monitoring-Tools. (von NetOptics)
Aus den drei oben genannten Definitionen können wir grundsätzlich mehrere Merkmale von Network TAP ableiten: Hardware, Inline, transparent
Hier ist ein Blick auf diese Funktionen:
1. Es handelt sich um eine unabhängige Hardware und hat daher keinen Einfluss auf die Auslastung vorhandener Netzwerkgeräte, was gegenüber der Portspiegelung große Vorteile bietet.
2. Es handelt sich um ein Inline-Gerät. Vereinfacht ausgedrückt muss es an das Netzwerk angeschlossen werden, was verständlich ist. Dies birgt jedoch auch den Nachteil, dass eine Fehlerquelle entsteht. Da es sich um ein Online-Gerät handelt, muss das aktuelle Netzwerk zum Zeitpunkt der Bereitstellung je nach Einsatzort unterbrochen werden.
3. Transparent bezieht sich auf den Zeiger auf das aktuelle Netzwerk. Nach dem Shunt hat das aktuelle Netzwerk für alle Geräte keine Auswirkungen auf den Zugriff auf das Netzwerk. Es ist für sie vollständig transparent. Natürlich enthält es auch den Netzwerk-Shunt, der Datenverkehr an die Überwachungsgeräte sendet. Das Überwachungsgerät ist für das Netzwerk transparent. Es ist, als ob Sie eine neue Steckdose anschließen würden. Für andere vorhandene Geräte passiert nichts, auch nicht, wenn Sie das Gerät schließlich entfernen und sich plötzlich an das Gedicht „Winke mit dem Ärmel und nicht mit einer Wolke“ erinnern.
Viele kennen Port-Mirroring. Ja, Port-Mirroring kann den gleichen Effekt erzielen. Hier ist ein Vergleich zwischen Netzwerk-Taps/Divertern und Port-Mirroring:
1. Da der Port des Switches selbst einige fehlerhafte und zu kleine Pakete filtert, kann die Portspiegelung nicht garantieren, dass der gesamte Datenverkehr empfangen werden kann. Der Shunter gewährleistet jedoch die Integrität der Daten, da diese auf der physischen Ebene vollständig „kopiert“ werden.
2. In Bezug auf die Echtzeitleistung kann die Portspiegelung bei einigen Low-End-Switches zu Verzögerungen führen, wenn der Datenverkehr auf die Spiegelungs-Ports kopiert wird. Auch beim Kopieren von 10/100-m-Ports auf GIGA-Ports kann es zu Verzögerungen kommen.
3. Port-Mirroring erfordert, dass die Bandbreite eines gespiegelten Ports größer oder gleich der Summe der Bandbreiten aller gespiegelten Ports ist. Diese Anforderung wird jedoch möglicherweise nicht von allen Switches erfüllt.
4. Die Portspiegelung muss auf dem Switch konfiguriert werden. Sobald die zu überwachenden Bereiche angepasst sind, muss der Switch neu konfiguriert werden.
Beitragszeit: 05.08.2022
